Chromium podría estar almacenando contraseñas en texto plano

Iniciado por AXCESS, Junio 21, 2022, 03:03:11 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hay datos que, por su naturaleza, siempre deben permanecer protegidos. Contraseñas, nombres de usuario, el contenido de determinadas cookies, informaciones que, por norma general, consideramos que los navegadores web gestionan de manera adecuada, es decir, asegurándose de que siempre está protegida. Es lo que se espera. Pues lo cierto es que hay malas, muy malas noticias al respecto.
Y es que Zeev Ben Porat, investigador de CyberArk, ha comprobado que la mayoría de los navegadores web basados en Chromium (como Google Chrome y Microsoft Edge) almacenan, en determinadas circunstancias, dichos tipos de información en texto plano, propiciando de este modo que cualquier persona que pueda tener acceso a nuestro PC, potencialmente pueda obtener dicha información, con los efectos que esto puede llegar a tener.
Estos son algunos de los tipos de datos que el investigador afirma haber encontrado:
•   Nombre de usuario + contraseña utilizada al iniciar sesión en una aplicación web específica.
•   URL + nombre de usuario + contraseña cargada automáticamente en la memoria durante el inicio del navegador.
•   Todos los registros de URL + nombre de usuario + contraseña almacenados en Datos de inicio de sesión.
•   Todas las cookies pertenecientes a una aplicación web específica (incluidas las cookies de sesión).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien es necesario que el usuario ingrese datos como nombres de usuario y contraseñas, antes de poder extraerlos, Zeev Ben Porat señala que es posible "cargar en la memoria todas las contraseñas almacenadas en el administrador de contraseñas".

La seguridad de la autenticación de dos factores puede no ser suficiente para proteger las cuentas de los usuarios si los datos de las cookies de sesión también están presentes en la memoria; la extracción de los datos puede dar lugar a ataques de secuestro de sesión utilizando los datos.
Más preocupante aún es que, tras detectar la vulnerabilidad, el investigador se puso en contacto con Google para informar de la misma, y la respuesta que obtuvo es que este problema no será solucionado próximamente.

La razón dada es que Chromium no soluciona ningún problema relacionado con ataques de acceso físico local.

El problema es que combinar esta debilidad de Chromium con cualquier ataque en el que se consiga acceso remoto, tendrá unas consecuencias realmente preocupantes.

Zeev Ben Porat publicó un artículo de seguimiento en el blog CyberArk, que describe las opciones de mitigación y diferentes tipos de ataques para explotar el problema, y resulta preocupante comprobar la cantidad de métodos que se pueden emplear para explotar este problema.

Afortunadamente, también ofrece profusas instrucciones para mitigar esta amenaza, que se resumen en los siguientes puntos:

•   Denegar cualquier acceso de procesos no autorizados a archivos confidenciales (Crear archivo, Mover archivo).

•   Denegar cualquier acceso de procesos no autorizados a la máquina virtual del navegador (OpenProcess, OpenThread).

•   Impedir que procesos no autorizados creen procesos en el navegador (CreateProcess).

•   Bloquear las opciones de línea de comando sospechosas (línea de comando CreateProcess).

•   Impedir que el proceso del navegador cargue archivos DLL (LoadLibrary) sin firmar (no confiables).

Sorprende, no obstante, que Google no haya priorizado este problema al partir de la premisa de que no se solucionan problemas relacionados con ataques de acceso físico local, puesto que, como queda claro al revisar el informe del CyberArk, su explotación de manera remota es perfectamente factible con múltiples herramientas.

Fuente:
Hacking Land
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


@AXCESS

Gracias por la noticia. La había visto en algunos sitios y me generó cierto interés dado que, aparte que yo uso un navegador web basado en chromium, mencionan que las contraseñas se almacenan en texto plano, pero no el lugar.

Creo que el artículo original del investigador es el siguiente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es muy difícil que los desarrolladores arreglen este "bug", porque para dumpear los datos de un proceso se necesita acceso local, al menos que el ordernador esté comprometido, aunque de igual forma no sería problema de Chromium, sino del operador.

De hecho, hay muchas herramientas que operan de esta forma, algunas son automáticas, otras requieren que el usuario haga ciertos pasos para que sea así. Vea el caso de SSH con ssh-agent, por ejemplo. Incluso el daemon sshd puede permitir hacerlo remotamente adrede (ver clave AllowAgentForwarding, sshd_config(5)).

Lo peligroso es cuando se almacenan en texto plano en una memoria no vólatil, entonces un atacante habilidoso sí puede obtener datos confidenciales al, por ejemplo, clonar el disco de almacenamiento, pero implica que, a) el atacante tenga acceso físico, b) el atacante lo haga remotamente, pero puede que el administrador habilite una medida de seguridad adicional.

Como mencioné, si se llegaran a almacenar las contraseñas en texto plano o cualquier dato confidencial en el almacenamiento, el operador puede tomar ciertas medidas, como habilitar el cifrado en el swap, o cambiar el nivel de seguridad si el sistema operativo lo soporta para así impedir que se puedan usar dispositivos como /dev/mem, /dev/kmem o /dev/io. También puede estar implementado el cifrado a nivel de disco (aunque no impide a un atacante a obtener contraseñas mientras el sistema operativo está en ejecución, por lo que está medida es útil bajo ataques en frío, pero eso es solo útil para él si la aplicación almacena las contraseñas adrede) o no hay almacenamiento más que la memoria RAM, como sistemas diskless.

De cualquier forma no sería culpa de chromium, aunque es un dato interesante a tener en cuenta.

~ DtxdF
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF